在 2021 年生日週期間,我們推出了 Email Routing 服務,該服務允許使用者根據收件者地址或部門等標準將不同類型的電子郵件(例如行銷、交易或管理)定向到單獨的帳戶。自推出以來,該服務的功能和路由的郵件量已大幅成長。
就在幾個月後的 2022 年 2 月 23 日,我們宣佈有意收購 Area 1 Security,以保護使用者免受電子郵件、Web 和網路環境中的網路釣魚攻擊。自 2022 年 4 月 1 日完成收購以來,Area 1 的電子郵件安全功能已整合到 Cloudflare 的安全存取服務邊緣 (SASE) 解決方案組合中,現在每天處理數千萬封郵件。
我們每天代表客戶處理數百萬封電子郵件,這讓我們對惡意電子郵件、垃圾郵件數量、電子郵件驗證方法(如 SPF、DMARC 和 DKIM)採用情況以及電子郵件伺服器使用 IPv4/IPv6 和 TLS 所帶來的威脅有了獨到的見解。今天,我們在 Cloudflare Radar 上推出了一個新的電子郵件安全部分,與您分享這些觀點。這個新部分中的見解可以協助您更好地瞭解從各種指標角度看到的電子郵件安全狀態,以及瞭解電子郵件傳播威脅的即時趨勢。(例如,將您組織內觀察到的包含惡意連結的郵件數量的增長與 Cloudflare 觀察到的類似增長聯繫起來。)下面,我們看一下 Radar 上現在提供的新指標。
追蹤惡意電子郵件
由於 Cloudflare 的電子郵件安全服務代表客戶處理電子郵件,因此我們能夠識別攻擊型郵件並將其歸類為惡意郵件。例如,惡意電子郵件可能會試圖誘騙收件者分享個人資訊(如登入詳細資訊),或者這些郵件可能會試圖透過嵌入的影像、連結或附件傳播惡意程式碼。Cloudflare Radar 上新的電子郵件安全部分現在可以提供全球層面的見解,讓我們瞭解在選定時間範圍內歸類為惡意郵件的已處理郵件的總佔比。如下圖所示,在 2024 年 2 月,我們發現平均有 2.1% 的郵件被歸類為惡意郵件。2 月 10 日和 11 日惡意電子郵件數量激增,占郵件總數的 29%。這些激增發生在超級碗開賽前夕,與之前觀察到的比賽前一週惡意電子郵件數量增加的情況一致。2 月 13 日、15 日、17 日、24 日和 25 日也出現了其他顯著(但較低)的峰值。可透過 Radar API 獲取惡意電子郵件占比的摘要和時間序列資料。
威脅分類
Cloudflare Radar 2023 年度回顧重點介紹了攻擊者在使用惡意電子郵件進行攻擊時使用的一些技術。如上所述,這些技術可能包括指向惡意程式碼的連結或附件,以及身分欺騙(郵件看上去來自受信任的連絡人)和品牌冒充(郵件看上去來自受信任的品牌)等方法。在分析惡意電子郵件時,Cloudflare 的電子郵件安全服務會對這些郵件中包含的威脅進行分類。(請注意,一封郵件可能包含多種類型的威脅——寄件者可能冒充受信任的連絡人,而電子郵件正文包含指向虛假登入頁面的連結。)
根據這些評估,Cloudflare Radar 現在可以提供在幾種不同威脅類型群組中觀察到的趨勢的見解,包括「附件」、「連結」、「冒充」和「其他」。「附件」群組包含攻擊者在電子郵件訊息中新增附件的單個威脅類型,「連結」群組包含攻擊者試圖讓使用者點擊某些內容的單個威脅類型,「冒充」群組包含攻擊者冒充受信任的品牌或連絡人的單個威脅類型。「其他」群組包括前三個未涵蓋的其他威脅類型。
如下圖所示,在 2024 年 2 月的「連結」分組中,基於連結的威脅毫無意外地最為常見,58% 的惡意電子郵件中都存在此類威脅。由於 HTML 中連結的顯示文字(即超文字)可以任意設定,因此攻擊者可以讓 URL 看起來好像連結到一個良性網站,而實際上是惡意的。近三分之一的惡意電子郵件連結到旨在獲取使用者認證的內容。可透過 Radar API 獲取這些威脅類別的摘要和時間序列資料。
對於「附件」分組,在 2024 年 2 月,近 13% 的郵件被發現包含惡意附件,當在攻擊環境中開啟或執行時,該附件會包含行動號召(例如誘使目標點選連結)或執行攻擊者設定的一系列動作。該比例在整個月內飆升數次,最高達到 70%。近 6% 的郵件中的附件在開啟後會嘗試下載其他軟體(可能是惡意程式碼)。
如果電子郵件看上去來自值得信賴的品牌,使用者會更有可能開啟它並採取動作,例如查看包裹的運輸狀態或查看金融交易。2024 年 2 月,平均有超過四分之一的惡意電子郵件是由試圖冒充知名品牌的攻擊者發送的。與其他威脅類別類似,這一類別也出現了多次顯著的峰值,在 2 月 17 日高達 88%。超過 18% 的郵件被發現試圖以某種方式勒索使用者。從資料來看,此類活動在情人節(2 月 14 日)前一週非常活躍,不過峰值出現在 2 月 15 日,達到超過 95%。
身分欺騙是指攻擊者或惡意人士傳送一封聲稱是其他人的電子郵件,無論是透過使用相似的網域還是顯示名稱操縱。這是「其他」類別中最大的威脅類別,在 2024 年 2 月期間,這種威脅出現在超過 36% 的惡意電子郵件中。下圖顯示了使用這種技術的三個明顯「浪潮」——第一波始於本月初,第二波始於 2 月 9 日左右,第三波始於 2 月 20 日左右。超過 11% 的郵件被歸類為惡意郵件,因為它們來自的網路(自發系統)的聲譽不佳;一些網路提供者是眾所周知的惡意和垃圾郵件來源。
危險網域
頂層網域(也稱為 TLD)位於主機名稱的最右側部分。例如,radar.cloudflare.com
位於 .com
通用頂層網域 (gTLD) 中,而 bbc.co.uk
位於 .uk
國家代碼頂層網域 (ccTLD) 中。截至 2024 年 2 月,IANA 根區資料庫中列出了近 1600 個頂層網域。在過去 15 年左右的時間裡,已經發佈了多份報告,研究「最危險的 TLD」——即哪些 TLD 最受威脅行為者的青睞。這些報告中的主要頂級 TLD 通常是較小國家的 ccTLD 和較新的 gTLD 的混合。在 Radar 上,我們現在分享了我們對這些危險 TLD 的看法,重點介紹了我們觀察到惡意和垃圾郵件占比最大的那些。分析基於傳送網域的 TLD,位於電子郵件訊息的 From:
標頭中。例如,如果郵件來自 [email protected]
,則 example.com
是傳送網域,而 .com
是關聯的 TLD。
在 Radar 上,使用者可以查看垃圾郵件和惡意電子郵件的占比,還可以按時間範圍和 TLD 的「類型」進行篩選,可以選擇查看全部(完整清單)、ccTLD(國家代碼)或「傳統」TLD(RFC 1591 中指定的原始 gTLD 集)。請注意,此處顯示的垃圾郵件百分比可能低於其他產業分析中發佈的百分比。Cloudflare 雲端電子郵件安全客戶可能在郵件到達 Cloudflare 以供進行處理之前執行初始垃圾郵件篩選,從而導致被 Cloudflare 識別為垃圾郵件的郵件百分比較低。
回顧 2024 年 2 月,我們發現新 gTLD associates
和 ccTLD zw
(辛巴威)是惡意電子郵件來源占比最大的 TLD,各占 85% 以上。新 TLD academy
、directory
和 bar
在關聯網域傳送的電子郵件中占垃圾郵件的比例最高,高達 95%。
2024 年 2 月惡意電子郵件百分比最高的 TLD
2024 年 2 月垃圾郵件百分比最高的 TLD
下圖對 ccTLD 進行了詳解,我們發現來自 zw
(辛巴威,85%)和 bd(孟加拉,50%)網域的郵件中至少有一半被歸類為惡意郵件。雖然惡意電子郵件的佔比遠遠超過來自 zw
網域的垃圾郵件佔比,但 bd
和 pw
(帛琉)的佔比要均衡得多。2024 年 2 月,共有 80 個 ccTLD 中被歸類為惡意郵件的郵件不到 1%。
2024 年 2 月惡意電子郵件百分比最高的 ccTLD
在「傳統」TLD 中,我們可以看到惡意電子郵件和垃圾郵件的佔比相對較低。作為最大的 TLD,com
在 2024 年 2 月的佔比最大,這並不令人意外。而即使註冊 int
和 gov
網域存在諸多限制,在來自關聯網域的郵件中,也有 2% 被歸類為惡意郵件,這一點十分耐人尋味。
2024 年 2 月惡意電子郵件百分比最高的傳統 TLD。
一些頂層網域 (TLD) 造成大量惡意和/或垃圾郵件的原因各不相同:有些可能具有寬鬆的註冊要求或根本不存在註冊要求,有些可能對所謂的「網域嘗試」更友好,有些可能收取特別低的網域註冊費。可透過 Radar API 獲取每個頂層網域 (TLD) 的惡意和垃圾郵件占比摘要。
電子郵件驗證方法的採用情況
SPF、DKIM 和 DMARC 是三種電子郵件驗證方法,當結合使用時,它們有助於防止垃圾郵件發信者、網路釣魚者和其他未經授權的各方代表他們不擁有的網域傳送電子郵件。
寄件者原則架構 (SPF) 是一種讓網域列出其傳送電子郵件的所有伺服器的方法,DNS 中的 SPF 記錄會列出允許從該網域傳送電子郵件的所有伺服器的 IP 位址。接收電子郵件的郵件伺服器可以在將其傳遞到收件者的收件匣之前根據 SPF 記錄對其進行檢查。網域金鑰識別郵件 (DKIM) 使網域擁有者能夠使用數位「簽名」自動「簽署」來自其網域的電子郵件,該簽名使用加密技術以數學方式驗證電子郵件是否來自該網域。基於網域的郵件驗證報告和一致性 (DMARC) 會根據檢查 SPF 和 DKIM 後的結果告訴接收電子郵件伺服器該做什麼。網域的 DMARC 原則儲存在 DMARC 記錄中,可以透過多種方式設定,指示郵件伺服器隔離未通過 SPF 或 DKIM(或兩者)的電子郵件、拒絕此類電子郵件或傳送這些郵件。
這些驗證方法最近變得越來越重要,因為 Google 和 Yahoo! 都宣佈,在 2024 年第一季,作為減少垃圾郵件的更積極努力的一部分,他們將要求大量郵件寄件者遵循最佳做法,包括使用 SPF、DKIM 和 DMARC 等標準實施更強大的電子郵件驗證。當使用這三種方法評估給定的電子郵件訊息時,可能的結果為 PASS、FAIL 和 NONE。前兩個是不言自明的,而 NONE 表示沒有與郵件傳送網域關聯的 SPF/DKIM/DMARC 原則。
回顧 2024 年 2 月的平均占比,我們發現超過 93% 的郵件通過了 SPF 驗證,只有 2.7% 的郵件未通過。在考慮這一指標時,FAIL 的結果更受關注,因為 SPF 比 DKIM 更容易被欺騙,而且失敗可能是由「影子 IT」情況導致的,例如當公司的行銷部門使用第三方代表公司傳送電子郵件,但未能將該第三方新增到相關的 SPF 記錄中時,就會發生這種情況。2 月份平均有 88.5% 的郵件通過了 DKIM 評估,只有 2.1% 的郵件未通過。對於 DKIM,重點應該放在 PASS 上,因為存在給定簽名可能無法驗證的潛在非惡意原因。對於 DMARC,86.5% 的郵件通過了驗證,而 4.2% 的郵件未通過,PASS 和 FAIL 的組合是重點,因為對於此指標,是否存在相關原則是最受關注的,郵件是否通過則不那麼受關注。對於本節中的所有三種方法,NONE 表示缺少相關原則。可透過 Radar API 獲取 SPF(摘要、時間序列)、DKIM(摘要、時間序列)和 DMARC(摘要、時間序列)資料。
通訊協定使用情況
Cloudflare 長期以來一直在大力推廣 IPv6,儘管它主要致力於透過這個並不算新的通訊協定版本提供 Web 資源。然而,其他網際網路服務也開始支援和使用 IPv6 也很重要,而我們最近的研究表明,提供者可能在這方面有所欠缺。
透過分析從寄件者的郵件伺服器到 Cloudflare 的電子郵件伺服器的輸入連線,我們可以深入瞭解這些連線在 IPv4 和 IPv6 中的分佈情況。查看 2024 年 2 月的分佈情況,我們發現 95% 的連線是透過 IPv4 建立的,只有 5% 的連線使用了 IPv6。這種分佈與對支援 IPv6(雙從堆疊)Web 內容的 IPv6 請求份額形成鮮明對比,後者在同一時間段內為 37%。可透過 Radar API 獲取 IPv4/v6 分佈的摘要和時間序列資料。
Cloudflare 也是安全連線的長期擁護者,並在 2014 年生日週期間推出了 Universal SSL,以便在所有客戶網站(當時約有 200 萬個)上實現終端使用者與 Cloudflare 之間的安全連線。在過去的 10 年中,SSL 已完成向 TLS 的演變,儘管許多人認為 TLS 僅適用於 Web 內容(這可能是因為多年來我們被告知要在瀏覽器的位址列中尋找 🔒 掛鎖),但 TLS 還用於加密跨其他通訊協定的用戶端/伺服器連線,包括 SMTP(電子郵件)、FTP(檔案傳輸)和 XMPP(訊息傳遞)。
與上面討論的 IPv4/v6 分析類似,我們還可以計算使用 TLS 的 Cloudflare 電子郵件伺服器的輸入連線的占比。透過 TLS 建立連線時,郵件在傳輸過程中會被加密,而透過未加密連線傳送的郵件可能會在傳輸過程中被讀取或修改。幸運的是,Cloudflare 電子郵件伺服器收到的絕大多數郵件都是透過加密連線傳送的,2024 年 2 月期間只有 6% 的郵件未加密傳送。可透過 Radar API 獲取 TLS 使用情況的摘要和時間序列資料。
結論
儘管年輕的網際網路使用者可能會放棄使用電子郵件而選擇透過各種訊息應用程式進行通訊,但電子郵件仍然是個人、企業、線上和線下零售商、政府等必不可少的網際網路服務。然而,由於電子郵件如此普遍、重要且價格低廉,它也成為了一種有吸引力的威脅媒介。Cloudflare 的電子郵件路由和安全服務可協助客戶管理和保護他們的電子郵件,而 Cloudflare Radar 的新電子郵件安全部分可以協助安全研究人員、電子郵件管理員和其他相關方瞭解以下最新趨勢:惡意電子郵件中的威脅、垃圾郵件和惡意電子郵件來源以及旨在防止濫用電子郵件的技術的採用情況。
如果您對這個新的部分有任何疑問,可以透過[email protected] 聯絡 Cloudflare Radar 團隊,或透過社交媒體 @CloudflareRadar (X/Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky) 聯絡 Cloudflare Radar 團隊。
請關注更多新聞、公告與發人深省的討論!別錯過完整的 Security Week 中心頁面。